Compartir a través de

Cómo asignación de Sitios a Zonas en IE mediante una GPO (es-ES)

  • Artículo

En la mayoría de las redes con tecnología Microsoft se suelen tener​ aplicaciones que utilizan Autenticación Intregrada, lo que permite que el usuario pueda autenticarse en ella de forma transparente. Por ejemplo, si tenemos una aplicación Web (SharePoint, CRM, OWA, etc..) con la autenticación integrada configurada, una vez hemos iniciado sesión en una máquina del dominio el usuario no tendrá que autenticarse de nuevo en la apilcación, puesto que enviará las credenciales con la que ha iniciado sesión. Para que el cliente pueda utilizar este tipo de autenticación y beneficiarse de ella, debemos configurar el Internet Explorer y añadir la URL en la zona de Intranet Local permitiendo así el inicio de sesión automático con el nombre de usuario y contraseña actuales (la sesión iniciada del usuario). La configuración por defecto de la Zona de Intranet Local es la siguiente en cuanto al Inicio de sesión

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/NewPost/gpo_zona_Intranet_1.jpg
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_2.jpg

 

Esto es muy sencillo de configurar, creamos una GPO y editamos la siguiente opción: Configuración de usuario - Directivas - Plantillas Administrativas - Componentes de Windows - Internet Explorer - Lista de asignación de sitio a zona.

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_9.jpg

Solo tenemos que agregar a la izquierda la URL y a la derecha especificar la zona a la que corresponde (1 Zona de Intranet, 2 Sitios de Confianza, 3 Internet, 4 Sitios Restringidos)

 http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_3.JPG

Ahora el usuario se conectaría a cualquier aplicación Web con autenticación integrada en el dominio asirlab.com  y no les solicitaría credenciales, accedería de forma transparente. Pero esta configuración tiene un problema, que el usuario NO podrá añadir más URL a ninguna de las zonas y esto no es muy operativo para nadie, ni para los usuarios ni para los administradores (depende cuales fuesen las necesidades claro está).  

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_4.jpg

 

Si queremos añadir distintas URL o Dominios a los sitios de Intranet (o cualquier otra zona) debemos crear las claves de registro "manualmente". Debemos añadir las URLs en la clave Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap, para ello creamos una GPO y vamos a Configuración de usuario - Preferencias - Configuración de Windows - Registro y ahí debemos crear la siguientes claves de registro para cada URL o Dominio:

 

El valor que establecemos identificará a cada una de las zonas (Internet, Intranet, Sitios de Confianza, Sitios Restringidos)

00000000 Equipo Local

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_18.jpg

00000001 Esta zona contiene todos los sitios web que se encuentran en la intranet de su organización (Intranet local)

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_14.jpg

00000002 Esta zona contiene sitios web que sabe no van a perjudicar el equipo o su información (Sitios de confianza)

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_15.jpg

00000003 Esta zona contiene todos los sitios web que no situó en otras zonas (Internet)

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_16.jpg

00000004 Esta zona contiene sitios web que potencialmente podrían perjudicar el equipo o su información (Sitios restringidos)

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_17.jpg
Por lo que si queremos añadir sitios de Intranet, debemos aplicar la siguiente configuración:

 

Clave: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\dominio
Valor: HTTP (HTTPS si es necesario)

Tipo: REG_DWORD

Información del valor: 00000001

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_10.jpg
Esto añadirá la url *.asirsl.com a los sitios de Intranet del usuario, pero como véis ahora le permite añadir más sitios en la zona y distintas zonas

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_12.jpg

(registro de la sesión del usuario) (yo lo tengo configurado para HTTPS, HTTP y FILE)

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_11.jpg

Ahora si abrimos el navegador para acceder a la URL  http://ca.asirlab.com accederemos sin solicitarnos credenciales, puesto que ya tenemos la url en Sitios de Intranet (la configuración por defecto de esta zona es que se autentiquen con el usuario y contraseña actuales)

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_7.jpg

Si ahora queremos añadir más dominios a los sitios de intranet podemos hacerlo sin problema
http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_13.jpg

Estas configuraciones son a nivel de dominio completo, pero si quieres configurarlo para un subdominio (https://skydrive.live.com) sería de la siguiten forma:

http://blog.asirsl.com/SiteAssets/Lists/EntradasDeBlog/EditPost/gpo_zona_Intranet_19.jpg

 

Es bastante sencilla la configuración y nos permitirá añadir las distintas URL a las zonas del Internet Explorer desde una GPO, ademas de permitir que el usuario final pueda añadir más URL